Các kết nối tiềm năng giữa giải pháp phần mềm tội phạm dưới dạng dịch vụ (Caas) dựa trên đăng ký và bản sao bẻ khóa của Cobalt Strike đã được thiết lập trong điều mà các nhà nghiên cứu nghi ngờ rằng nó đang được cung cấp như một công cụ để khách hàng của mình phân tích các hoạt động sau khai thác.
Prometheus, như tên gọi của dịch vụ, lần đầu tiên được đưa ra ánh sáng vào tháng 2021 năm XNUMX khi công ty an ninh mạng Group-IB tiết lộ chi tiết về các chiến dịch phân phối phần mềm độc hại do các nhóm tội phạm mạng thực hiện để phân phối Campo Loader, Hancitor, IcedID, QBot, Buer Loader và SocGholish ở Bỉ và Mỹ
Với chi phí 250 đô la một tháng, nó được tiếp thị trên các diễn đàn ngầm của Nga như một hệ thống định hướng lưu lượng (TDS) để cho phép chuyển hướng lừa đảo trên quy mô lớn đến các trang đích giả mạo được thiết kế để triển khai các phần mềm độc hại trên các hệ thống được nhắm mục tiêu.
“Prometheus có thể được coi là một dịch vụ / nền tảng toàn diện cho phép các nhóm đe dọa thực hiện các hoạt động lừa đảo hoặc phần mềm độc hại của họ một cách dễ dàng,” Nhóm Nghiên cứu và Tình báo của BlackBerry nói trong một báo cáo được chia sẻ với The Hacker News. “Các thành phần chính của Prometheus bao gồm một web chứa cơ sở hạ tầng độc hại, phân phối email độc hại, lưu trữ tệp bất hợp pháp thông qua các dịch vụ hợp pháp, chuyển hướng lưu lượng và khả năng phân phối tệp độc hại.”
Thông thường, việc chuyển hướng được thực hiện từ một trong hai nguồn chính, cụ thể là với sự trợ giúp của các quảng cáo độc hại (hay còn gọi là quảng cáo độc hại) trên các trang web hợp pháp hoặc thông qua các trang web đã bị giả mạo để chèn mã độc hại.
Trong trường hợp của Prometheus, chuỗi tấn công bắt đầu bằng một email spam chứa tệp HTML hoặc trang Google Tài liệu, khi tương tác, chuyển hướng nạn nhân đến một trang web bị xâm nhập lưu trữ một cửa sau PHP. nạn nhân của phần mềm độc hại hoặc chuyển hướng họ đến một trang khác có thể chứa lừa đảo trực tuyến. ”
Hoạt động kiếm tiền sớm nhất được kết nối với các nhà khai thác dịch vụ, những người có tên “Ma1n” trên các diễn đàn hack, được cho là đã bắt đầu vào tháng 2018 năm 22, với tác giả được liên kết với các công cụ bất hợp pháp khác cung cấp chuyển hướng chất lượng cao và bộ PowerMTA để gửi thư cho công ty hộp thư, trước khi đưa Prometheus TDS lên bán vào ngày 2020 tháng XNUMX năm XNUMX.
Đó không phải là tất cả. BlackBerry cũng nhận thấy sự trùng lặp giữa hoạt động liên quan đến Prometheus và một phiên bản bất hợp pháp của coban tấn công phần mềm mô phỏng đối thủ và mô phỏng mối đe dọa, làm tăng khả năng bản sao đang được “phổ biến bởi chính các nhà khai thác Prometheus”.
Các nhà nghiên cứu cho biết: “Có thể ai đó được kết nối với Prometheus TDS đang duy trì bản sao bị bẻ khóa này và cung cấp nó khi mua hàng. “Cũng có thể là bản cài đặt đã bẻ khóa này có thể được cung cấp như một phần của playbook tiêu chuẩn hoặc cài đặt máy ảo (VM).”
Điều này được chứng minh bởi thực tế là một số tác nhân đe dọa, bao gồm cả DarkCrystal RAT, kẻ ăn trộm, VÒNG7, Qakbotvà IceID, cũng như các băng nhóm ransomware như REvil, Ryuk (Wizard Spider), vật chất đen, và Cerber, đã sử dụng bản sao crack được đề cập trong hai năm qua.
Trên hết, Cobalt Strike Beacon tương tự cũng đã được quan sát thấy cùng với các hoạt động được liên kết với một nhà môi giới truy cập ban đầu được theo dõi như Ngựa vằn2104, mà các dịch vụ của họ đã được các nhóm như StrongPity, MountLocker và Phobos đưa vào sử dụng cho các chiến dịch của riêng họ.
Các nhà nghiên cứu lưu ý: “Mặc dù TDS không phải là một khái niệm mới, nhưng mức độ phức tạp, sự hỗ trợ và chi phí tài chính thấp đã làm tăng thêm sự tin cậy cho lý thuyết rằng đây là một xu hướng có khả năng gia tăng trong tương lai gần của mối đe dọa,” các nhà nghiên cứu lưu ý.
“Số lượng các nhóm đang sử dụng các dịch vụ như Prometheus TDS, nói lên sự thành công và hiệu quả của các dịch vụ cho thuê cơ sở hạ tầng bất hợp pháp này, về bản chất là các doanh nghiệp chính thức hỗ trợ các hoạt động độc hại của các nhóm bất kể quy mô, cấp độ của họ. nguồn cung ứng hoặc động cơ. "
Nguồn: https://thehackernews.com/2022/01/russian-hackers-heavily-using-malicious.html
